Applies ToWindows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU Windows 7 Enterprise ESU Windows 7 Professional ESU Windows 7 Ultimate ESU Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2012 Windows 8.1 Windows RT 8.1 Windows Server 2012 R2 Windows 10 Windows 10 Pro Education, version 1607 Windows 10 Professional Education version 1607 Windows 10 Professional version 1607 Windows Server 2016 Windows 10 Home and Pro, version 20H2 Windows 10 Enterprise and Education, version 20H2 Windows 10 IoT Enterprise, version 20H2 Windows 10 Home and Pro, version 21H1 Windows 10 Enterprise and Education, version 21H1 Windows 10 IoT Enterprise, version 21H1 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows Server 2022 Azure Local, version 22H2 Windows 11 SE, version 21H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 SE, version 22H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2

Innledning

Microsoft kunngjør tilgjengeligheten av en ny funksjon, Extended Protection for Authentication (EPA), på Windows-plattformen. Denne funksjonen forbedrer beskyttelsen og håndteringen av legitimasjon ved godkjenning av nettverkstilkoblinger ved hjelp av integrert Windows-godkjenning (IWA).Oppdateringen i seg selv gir ikke direkte beskyttelse mot spesifikke angrep som videresending av legitimasjon, men gjør det mulig for programmer å melde seg på EPA. Denne veiledningen informerer utviklere og systemansvarlige om denne nye funksjonaliteten, og hvordan den kan distribueres for å beskytte godkjenningslegitimasjonen.Hvis du vil ha mer informasjon, kan du se Microsoft Sikkerhetsveiledning 973811.

Mer informasjon

Denne sikkerhetsoppdateringen endrer SSPI (Security Support Provider Interface) for å forbedre måten Windows-godkjenning fungerer på, slik at legitimasjon ikke blir enkelt videresendt når IWA er aktivert.Når EPA er aktivert, er godkjenningsforespørsler bundet til både service principal names (SPN) for serveren klienten prøver å koble til og til den ytre Transport Layer Security (TLS)-kanalen som IWA-godkjenningen forekommer over.

Oppdateringen legger til en ny registeroppføring for å administrere Utvidet beskyttelse:

  • Angi registerverdien SuppressExtendedProtection .

    Registernøkkel

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

    Verdi

    SuppressExtendedProtection

    Type

    REG_DWORD

    Data

    0 Aktiverer beskyttelsesteknologi.1 Utvidet beskyttelse er deaktivert.3 Utvidet beskyttelse er deaktivert, og kanalbindinger som sendes av Kerberos, deaktiveres også, selv om programmet leverer dem.

    Standardverdi: 0x0

    Obs!   Et problem som oppstår når EPA er aktivert som standard, er beskrevet i godkjenningsfeilen fra serveremnet for ikke-Windows NTLM eller Kerberos på Microsoft-nettstedet.

  • Angi registerverdien LmCompatibilityLevel .HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel til 3. Dette er en eksisterende nøkkel som aktiverer NTLMv2-godkjenning. EPA gjelder bare for NTLMv2-, Kerberos-, sammendrags- og forhandlingsgodkjenningsprotokoller og gjelder ikke for NTLMv1.

Obs!   Du må starte datamaskinen på nytt etter at du har angitt registerverdiene SuppressExtendedProtection og LmCompatibilityLevel på en Windows-datamaskin.

Aktiver utvidet beskyttelse

Obs!   Utvidet beskyttelse og NTLMv2 er som standard aktivert i alle støttede versjoner av Windows. Du kan bruke denne veiledningen til å bekrefte at dette er tilfellet.

Viktig!   Denne inndelingen, metoden eller oppgaven inneholder trinn som forteller deg hvordan du endrer registeret. Det kan imidlertid oppstå alvorlige problemer hvis du endrer registeret feil. Sørg derfor for at du følger disse trinnene nøye. Sikkerhetskopier registeret før du endrer det for ekstra beskyttelse. Deretter kan du gjenopprette registeret hvis det oppstår et problem. Hvis du vil ha mer informasjon om hvordan du sikkerhetskopierer og gjenoppretter registret, klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:

  • KB322756 Slik sikkerhetskopierer og gjenoppretter du registeret i Windows

Følg disse trinnene for å aktivere utvidet beskyttelse selv etter at du har lastet ned og installert sikkerhetsoppdateringen for plattformen:

  1. Start Registerredigering. Dette gjør du ved å klikke Start, klikke Kjør, skrive regedit i Åpne-boksen og deretter klikke OK.

  2. Finn og klikk deretter følgende registerundernøkkel:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

  3. Kontroller at registerverdiene SuppressExtendedProtection og LmCompatibilityLevel finnes.Hvis registerverdiene ikke finnes, følger du disse trinnene for å opprette dem:

    1. Når registerundernøkkelen som er oppført i trinn 2 er valgt, velger du NyRediger-menyen, og deretter klikker du DWORD-verdi.

    2. Skriv inn SuppressExtendedProtection, og trykk deretter ENTER.

    3. Når registerundernøkkelen som er oppført i trinn 2 er valgt, velger du NyRediger-menyen, og deretter klikker du DWORD-verdi.

    4. Skriv inn LmCompatibilityLevel, og trykk deretter ENTER.

  4. Klikk for å velge registerverdien SuppressExtendedProtection .

  5. Klikk EndreRediger-menyen.

  6. Skriv inn 0 i Verdidata-boksen, og klikk deretter OK.

  7. Klikk for å velge registerverdien LmCompatibilityLevel .

  8. Klikk EndreRediger-menyen.Merk Dette trinnet endrer krav til NTLM-godkjenning. Se følgende artikkel i Microsoft knowledge base for å sikre at du er kjent med denne virkemåten.

    KB239869 Slik aktiverer du NTLM 2-godkjenning

  9. Skriv inn 3 i verdidataboksen, og klikk deretter OK.

  10. Avslutt registerredigering.

  11. Hvis du gjør disse endringene på en Windows-datamaskin, må du starte datamaskinen på nytt før endringene trer i kraft.

Trenger du mer hjelp?

Vil du ha flere alternativer?

Utforsk abonnementsfordeler, bla gjennom opplæringskurs, finn ut hvordan du sikrer enheten og mer.

Fellesskap hjelper deg med å stille og svare på spørsmål, gi tilbakemelding og høre fra eksperter med stor kunnskap.